간단한 커뮤니티 사이트에 SSL Cert가 필요합니까?

Question

나는 작은 커뮤니티 사이트를 배포하기 위해 노력하고 있습니다. 사용자 등록에는 사용자 이름, 이메일 주소 및 비밀번호 만 필요합니다. 나는 이름을 요구하지 않으며, 민감한 데이터를 저장하지도 않습니다.

여전히 SSL 인증서에 투자해야합니까? 사용자 비밀번호없이 사용자의 비밀번호를 전송하는 것이 끔찍한 관행으로 간주됩니까?

이것은 단지 개인 프로젝트 일 뿐이므로 가능한 경우 추가 비용을 피하고 싶습니다. 그러나 도움을 줄 수는 없지만 모든 것을 제대로 확보하지 않으면 무책임 할 것이라고 생각합니다.

Answer 1

사용자가 웹 사이트에 비밀번호를 제출할 때마다 SSL 인증서를 받고 HTTP가 필요합니다. 사용자가 민감한 정보를 전송하지는 않지만 여전히 큰 이유가 있습니다. 많은 사람들이 방문하는 모든 사이트에 대해 동일한 사용자 이름과 비밀번호를 사용하고 누군가가 Open Wireless의 커피 숍에서 노트북을 사용하는 경우, 당신은해야합니다. 그들과 그들의 정체성을 안전하게 지키기 위해 당신의 힘으로 모든 것을하십시오.

비용이 문제라면 좋은 타협은 Cacert. 대부분의 브라우저에서는 기본적으로 인증서를 신뢰하지 않지만 검증 가능한 신원을 가진 사람은 누구나 무료로 인증서를 얻을 수 있습니다.

Answer 2

한 사람이 다른 사람을 사칭하거나 데이터를 스니핑 할 수있는 사람을 신경 쓰지 않는 한 SSL이 필요하지 않습니다.

SSL없이 가능한 한 안전한 사이트를 생성하려고 시도 할 수 있습니다. 그러나 파급 효과가 무엇인지, 노출 될 내용, SSL없이 보호하는 방법을 정확히 모르는 경우 이는 매우 위험합니다. 경우에 따라 실제 보호도 불가능할 수 있습니다.

또한 사람들은 종종 여러 계정에 하나의 암호를 사용하는 것을 기억하십시오. 즉, 데이터베이스의 많은 비밀번호가 사용자 은행, 이메일, 네트워크 등과 동일하다는 것을 의미합니다.

사람들이 당신과 함께 비밀번호를 저장하게한다면, 당신은 자신의 사이트의 보안이 중요하지 않더라도 그것을 보호 할 책임이 있습니다.

나는 Godaddy Cert에 20 달러를 지출하는 것이 좋습니다. 또한 세션 보안을 읽고 보안 인증 방법을 읽으십시오.

Answer 3

답장 해주셔서 감사합니다. 나는 사람들의 암호를 보호하기 위해 약간의 돈을 쓰는 것이 그만한 가치가 있다고 확신했다고 생각합니다.

나는 OpenID를 사용하는 것에 대해 생각했다. 아마도 초기 릴리스의 일부는 아니지만 나중에 지원을 추가 할 수 있습니다. 나는 청중이 OpenID의 개념을 얼마나 잘 이해할 것인지 의문을 제기 할 것입니다. 청중의 본질 때문에 그것이 잘 작동한다고 생각합니다. 나는 일반 인구에게 열의를 소환하여 열의를 소환하여 아마도 매우 겸손한 사이트가 될 것인지를 사용하기 위해 열정을 소환하도록 요구하는 데 어려움을 겪고 있습니다.

Answer 4

나는 그런 것에 대해 SSL을 귀찮게하지 않을 것입니다.

생각해보십시오 ... 인터넷에는 백만 개의 메시지 보드가 있으며 그 중 누구도 SSL을 사용하지 않습니다.

신용 카드 번호 나 기타 민감한 재무/개인 정보를 저장하지 않는 한 비용이 가치가 있다고 생각하지 않습니다.

Answer 5

사용자가 신용 카드 나 기타 개인 정보를 제공하지 않는 한 인증서를 지불하는 것을 귀찮게하지 않습니다.

그러나 그것이 소셜 네트워킹 사이트라면, 나는 하나를 얻는 것을 고려할 것입니다.

Answer 6

아마도 도움이되지는 않지만 일부 SSL 제공 업체는 다른 SSL 제공 업체보다 저렴합니다 www.instantssl.com은 예를 들어 비교적 저렴합니다. 또한 일부 호스트는 공유 인증서를 사용할 수 있으므로 로그온 프로세스에만 사용할 수 있지만 도메인은 주소 표시 줄에 있지 않지만 최소한 트래픽이 암호화됩니다.

Answer 7

SSL은 아마도 이것에 대해 과잉 일 것입니다.

그러나 사용자가 민감한 정보를 저장하는 데 사용하는 비밀번호를 사용하지 않도록 권장하십시오! 중요한 것을 저장하지는 않지만 "Kitty37 '이 은행 계좌의 열쇠라면 상황이 나빠질 수 있습니다.

이것은 사람들이 CMU의 Perspectives Project를 확인해야합니다. CMU는 자체 서명 된 인증서의 문제를 한편으로는 사용하기가 너무 어려워지고 "공식"인증서가 잠재적으로 위조 될 수있는 문제를 해결하려고합니다. 많은 보안 인증서를 추적하고 변경 중인지 여부를 관찰하는 합의 모니터링 서비스를 사용함으로써.

Firefox 확장 기능이 있으므로 사용하기 쉽습니다 (OpenSsh 클라이언트도 있습니다). http://www.cs.cmu.edu/~perspectives/

Answer 8

소규모 커뮤니티 웹 사이트의 SSL 인증서에 투자하는 것은 돈 낭비입니다. 사용자 등록 및 로그인 페이지가 액세스하고 이해하기 쉽고 이해하기 쉬운 시간과 공간이 로그인할지 여부를 확인할 수 있도록 시간이 더 잘 소비 될 것이라고 생각합니다. 항상 이와 같은 매개 변수를 설정하는 경우 아니요.이 예제는 문제가되지 않습니다.

우리가 큰 웹 사이트를 다루고 있다면 아마도 하나를 얻는 것이 좋습니다. 사용을 고려 했습니까? 개방형 사용자가 로그인하는 수단으로? 이 웹 사이트에서 합리적으로 잘 작동하는 것 같습니다. 왜 스스로 구현하지 않겠습니까?

Answer 9

SSL 부분은 아마도 과잉 일 것입니다. 더 나쁘게 보안처럼 들리지만 실제로는 아무것도 추가하지 않는 일을하는 "화물 컬트 보안"에 대한 진정한 유혹이됩니다.

강화 된 사이트를 구축하고 보안 패치를 최신 상태로 유지하는 방법에 대해 생각하는 것이 좋습니다.

오, 한 가지 : 따뜻한 사용자는 보안 비밀번호를 사용하지 않으므로 모든 은행 사이트에서 사용하는 좋아하는 "Joe"비밀번호를 사용하지 않습니다.

Answer 10

사용자를 식별하려는 경우 StackoverFlow처럼 OpenID를 허용하지 않겠습니까? ;)http://openid.net/